Имейл тестове с файлове, съдържащи вируси и спам

Съдържание

Когато решим да ползваме продукти или услуги, свързани по някакъв начин със сигурността на нашите компютърни системи, добра практика е никога да не се доверяваме напълно на описанието на разработиците, а да тестваме как се справя приложението в реални условия.

Но как може да тестваме приложението като не разполагаме с вируси или спам съобщения за тестови цели? За наша радост не се налага да си създаваме собствена лаборатория с вируси тъй като вече има разработени тестови скриптове, съдържащи напълно безопасен за нашата система код, който обаче се разпознава от приложенията за сигурност като вирус.

В статията ще ви покажем как може да тестваме сигурността на нашата мейл система в ICN.Bg хостинг с помощта на популярните тест инструменти Eicar Antivirus Test File и GTUBE (Generic Test for Unsolicited Bulk Email).

Eicar Antivirus Test File

Тестовият файл за антивирусни изследвания EICAR е разработен от Европейския институт за компютърни антивирусни изследвания (EICAR) и Организацията за компютърни антивирусни изследвания (CARO), за да се тества отговорът на антивирусните програми.

Вместо да използва истински зловреден софтуер, който може да причини реални щети, този тестов файл позволява да се тества антивирусен софтуер без да се налага използването на истински компютърен вирус.

Антивирусните програмисти създават низа EICAR като следват модели на идентифицирани вирусни сигнатури (код). Качествен скенер за вируси, когато открие файла, би трябвало да реагира по същия начин, както ако открие вирус в реална среда.

Изтегляне на Eicar тест файл

За да може да тестваме различни ситуации, разработчиците на EICAR ни предоставят 4 файла за изтегляне:

eicar.com - EICAR test file;
eicar.com.txt - копира eicar.com като текстов файл;
eicar_com.zip - ZIP файл за тестване на архиви;
eicarcom2.zip - ZIP архив, съдържащ предишния файл, който проверява дали вирусният скенер проверява архивите само на първо ниво;

Важно: EICAR не носи отговорност за каквито и да било щети, следствие от работата на нашата антивирусна програма и предоставените файлове. Също така не предоставя никаква помощ за премахване на тези файлове от вашия компютър. При нужда от помощ трябва да се свържем с производителя на антивирусната програма.

На следната страница https://www.eicar.org/?page_id=3950 е публикувана таблица, която съдържа всички тестови файлове като може да ги изтеглим през незащитена HTTP или защитена връзка HTTPS (препоръчително):

Таблица с различни EICAR тестови файлове за изтегляне

Ако вашата антивирусна програма не ви позволи да изтеглите файла eicar.com може да копирате текстовия файл eicar.com.txt и да го преименувате на eicar.com. Файловете се записват в директория на нашия компютър:

Тестовите файлове се записват на локалния компютър

Ако отворим тестовия файл eicar.com.txt с текстов редактор ще открием следния низ от ASCII символи:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Файлът не е вирус и не включва фрагменти от реален вирусен код, а представлява легитимна DOS програма, която при стартиране отпечатва съобщението "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!".

Нашата цел е да използваме тестовите файлове в имейли за да проверим как работи ситемата за сканиране на имейли в споделен хостинг.

От пощенска кутия в споделен ICN.Bg хостинг план опитваме да изпратим изтеглените по-рано EICAR тестови файлове по един в писмо. Системата за сканиране на изходящата поща не ни позволи в нито един от случаите да изпратим писмото!

Публикуваме съобщенията за грешка при всеки отделен опит заедно с вида на тестовия файл.

Тестов низ в съдържанието на имейла:

Грешка при изпращане на тестов низ в съдържанието на имейла

Прикачен изпълним файл:

Грешка при изпращане на прикачен изпълним файл

Прикачен компресиран файл:

Грешка при изпращане на прикачен компресиран файл

Прикачен компресиран архив:

Грешка при изпращане на прикачен компресиран архив

От външна публична поща опитахме да изпратим писмо с текстовия тестов файл за да проверим сканирането на входящата поща - писмото беше отхвърлено от мейл системата на ICN.Bg хостинга:

Отхвърляне на писмо, съдържащо EICAR тест файл

Със същата грешка бяха отхвърлени съобщенията, съдържащи другите три разновидности на тестовия вирус файла - изпълим файл, архив и компресиран архив:

message text rejected by [domain]:
550 ({HEX}EICAR.TEST.3.UNOFFICIAL)

Обобщение на резултатите от тестовете с EICAR test file

Системата за сигурност на ICN.Bg споделен хостинг не позволи както изпращането на съобщения, съдържащи всички четири варианта на тестовия вирус файл, така и получаването на съобщения, съдържащи същите тестови вируси.

GTUBE (Generic Test for Unsolicited Bulk Email)

GTUBE е общ тест за нежелана групова електронна поща, разработен от създателите на Apache SpamAssassin. GTUBE предоставя 68-байтов текстов низ, чрез който може да проверим дали антиспам филтъра SpamAssassin е инсталиран и конфигуриран правилно и дали открива входящ спам по начин, подобен на тестовия антивирус файл EICAR.

Сканиране на съобщение, съдържащто GTUBE, в SpamAssassin връща антиспам резултат 1000 по подразбиране, което е напълно достатъчно за да задейства всяка SpamAssassin инсталация (припомняме, че антиспам резултата на SpamAssassin по подразбиране е 5).

Съдържанието на GTUBE низ е показано по-долу:

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X

Тестовият низ трябва да бъде поставен на един ред без прекъсване на реда и без празни интервали.

Имейл съобщение във формат RFC-822, съдържащо GTUBE, изглежда по този начин:

Subject: Test spam mail (GTUBE)
Message-ID: 
Date: Wed, 23 Jul 2003 23:30:00 +0200
From: Sender 
To: Recipient 
Precedence: junk
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit

This is the GTUBE, the
    Generic
    Test for
    Unsolicited
    Bulk
    Email

If your spam filter supports it, the GTUBE provides a test by which you
can verify that the filter is installed correctly and is detecting incoming
spam. You can send yourself a test mail containing the following string of
characters (in upper case and with no white spaces and line breaks):

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X

You should send this test mail from an account outside of your network.

Текстов файл със същото съобщение може да бъде изтеглен от URL https://spamassassin.apache.org/gtube/gtube.txt.

Нека тестваме изпращане и получаване на имейл съобщение, съдържащо GTUBE към и от поща в споделен хостинг от ICN.Bg.

Тест на входяща и изходяща поща с GTUBE файл

От външна публична пощенска кутия опитахме да изпратим имейл със съдържанието на RFC-822 GTUBE файла, но получихме следната грешка:

Грешка при получаване на GTUBE низ в съдържанието на имейла

Мейл сървърът на хостинга в ICN.Bg отхвърли писмото с грешката от изображението - 550 "Пощенският сървър класифицира вашето съобщение като спам и предотврати доставянето."

От Thunderbird акаунт към поща в ICN.Bg хостинг опитахме да изпратим писмо със същото (RFC-822 GTUBE) съдържание. Системата за сканиране на изходяща поща обаче и в този случай (както в теста EICAR), не ни позволи да изпратим съобщението:

Грешка при изпращане на GTUBE низ в съдържанието на имейла

И в двата теста - EICAR и GTUBE, мейл системата на споделения ICN.Bg хостинг предотврати категорично както получаването, така и изпращането на имейл съобщения, съдържащи тестови вируси и спам.